domingo, 25 de septiembre de 2016

Corregidas vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se solucionan tres vulnerabilidades.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.  

Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.

Se ven afectadas las versiones 8.x anteriores a 8.1.10. Se recomienda la actualización a la versión Drupal 8.1.10.

Más información:

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada